Przeglądam niektóre aktualizacje systemu, a mój menedżer pakietów pokazuje zmiany między nadrzędnym / etc / shadow a moim.
Chciałbym dodać kilka uwag do pliku na następny raz. Jak mam wstawiać komentarze w pliku / etc / shadow bez rujnowania rzeczy.
Myślę, że domyślnie „#” by to zrobił, ale jeśli popełniam błąd, ponowne uruchomienie nie będzie tak przyjemne.
Odpowiedzi:
W systemach Linux korzystających z GNU libc wiersze rozpoczynające się od
#
są ignorowane/etc/shadow
. Analiza jest wykonywana przez__fgetspent_r()
, a jej kod źródłowy wyraźnie obsługuje (i dokumentuje) to zachowanie.Więc na większości systemów Linux można komentować linie
/etc/shadow
z#
bez powodowania problemów.Niestety komentarze są usuwane, gdy
/etc/shadow
są aktualizowane, np. Przezpasswd
; więc przechowywanie komentarzy nie jest w rzeczywistości bezpieczne (z punktu widzenia komentarzy).Oznacza to, że trzeba znaleźć gdzieś indziej, aby zapisać swój komentarz: dwie propozycje są dobre dr01 „s pomysł wykorzystania
/etc/shadow.README
, albo jeszcze lepiej Gilles ” pomysł wykorzystania popełnić wiadomości z etckeeper .źródło
passwd
. Próbowałem użyć fałszywego wpisu użytkownika lub poprawnego i dodać znaki do końcowego wpisu, ale wszystko to bezskutecznie.Każda linia
/etc/shadow
jest uważana za rekord użytkownika. Jak napisał Stephen Kitt, który przejrzał kod źródłowy parsera, możesz wstawiać wiersze zaczynające się od#
jako komentarze w pliku, a nawet puste wiersze i zostaną one zignorowane.Jednak nigdy nie widziałem
/etc/shadow
pliku z komentarzami. Wydaje się, że nie jest to powszechna praktyka, i to z bardzo dobrego powodu: zdecydowanie nie zaleca się jej ręcznej edycji . Z tego powodu wolałbym raczej utworzyć/etc/shadow.README
plik, aby przechowywać komentarze. Pamiętaj ochmod 000
pliku, aby uniknąć szpiegowania go przez użytkowników innych niż root.źródło
000
? Należą do ciebie,root:root
a potemug=r,o=
nie wystarczy?/etc/shadow
(przynajmniej w Red Hat, nie szukałem w innych dystrybucjach) i upewnij się, że tylko root ma dostęp do pliku. 440, jak sugerujesz, spraw, aby plik był czytelny dla zwykłego użytkownika, gdyby dołączył on / ona przez pomyłkę do grupy głównej. Na prawidłowo administrowanej maszynie i do wszystkich praktycznych celów są one warte tego samego. Myślę, że 000 lepiej oddaje znaczenie „pliku o kluczowym znaczeniu dla bezpieczeństwa - trzymaj ręce z daleka”, ale to tylko moja opinia./etc/shadow
.Oczywiście masz zmiany w swoim
/etc/shadow
. Nie chcesz, aby informacje o koncie/etc/shadow
na swoim serwerze - hashowane hasła, wygaśnięcia konta itp. - były kopią bajt po bajcie przesłaną dalej/etc/shadow
.I mam nadzieję, że nie nadpisujesz swojego prądu tym,
/etc/shadow
co otrzymujesz ze źródła danych.źródło